IOC_jaff_ransom_230517

Увага!

Сьогодні була зафіксована чергова спроба доставки jaff ransomware.

Схема роботи:
– – – – – – – – – – – – –
email > PDF > DOCM > macro > URL > EXE > jaff ransomware

Маркери (IOC):
– – – – – – – – – – – – –

#1 email

Received: from dsl-197-245-51-176.voxdsl.co.za [197.245.51.176]

#2 dropper_stage1

File Name 40-6347.pdf
MD5 Hash Identifier 3F07EE18D6A3DBF1E2AA01D4920A9CAC
SHA-1 Hash Identifier 13B72BEE0E1B68C45FDF8CF957C947223D5F49C9
SHA-256 Hash Identifier 508608F460AA9AF69A3D2DDFFBFF27E6BB4E3B5D520DDD42DD5748FEB0FB8693
File Size 62186 bytes
File Type application/pdf

#3 dropper_stage2

File Name OTRTRZH.docm
MD5 Hash Identifier F40273EDADF7D675F7B61F57B1E3305F
SHA-1 Hash Identifier C22AF9C7AA87E1550B36D9E49D37C2FB08666B99
SHA-256 Hash Identifier ED57709D1335DFCBF79EEA28ABA4BFB518303EB2F19EDC8DFC687C9FE68362E3
File Size 125044 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

відкриває з’єднання із:
khaosoklake.com 77.104.168.120 (Bulgaria)

завантажує сам додаток шифрування
KHAOSOKLAKE.COM/FGJDS2U

#4 payload

File Name levinsky8.exe
MD5 Hash Identifier 56185D85038547EC352A0F39396A37A7
SHA-1 Hash Identifier 0E2EBCBF00D0BB4F5CFE8470AB48FECD1EB4D5AB
SHA-256 Hash Identifier 76A14A40ECBB740EC6158D1969EDC71C33505D763E7AE0037574C6AB4733AF93
File Size 233472 bytes

відкриває з’єднання із:
maximusstafastoriesticks.info 185.109.147.122 (Netherlands)

#

Рекомендації:
– – – – – – – – – – – – –

1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .exe файлів у каталозі %AppData%
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Відключити макроси в MS Office; відключити скрипти і активацію зовн. контенту у PDF

Будьте уважні та обережні.

VR

Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: